LinuxInsider.ru

Как пользоваться TCPDUMP

В нашей предыдущей статье мы рассказывали о том, как можно восстановить удаленные файлы в Linux. Здесь мы покажем вам, как установить tcpdump, а затем мы обсудим и рассмотрим некоторые полезные команды с их практическими примерами. Вы увидите, что пользоваться этой функцией очень просто.

Как пользоваться TCPDUMP

tcpdump — это самый мощный и широко используемый анализатор пакетов или анализатор пакетов, который используется для захвата или фильтрации пакетов TCP / IP, которые были получены или переданы по сети на определенном интерфейсе. Он доступен в большинстве операционных систем на базе Linux / Unix. tcpdump также дает нам возможность сохранять захваченные пакеты в файле для последующего анализа.

Он сохраняет файл в формате pcap, который можно просмотреть командой tcpdump или инструментом с открытым исходным кодом на основе GUI, называемым Wireshark (Network Protocol Analyzier), который считывает файлы формата tcappump pcap. Прежде чем разобрать основные команды и понять как пользоваться TCPDUMP, нам нужно установить эту функцию.

Как установить tcpdump в Linux

Многие дистрибутивы Linux уже поставляются с инструментом tcpdump, если в случае, если у вас его нет в системах, вы можете установить его с помощью следующей команды Yum.

# yum install tcpdump

Как только инструмент tcpdump установлен в системах, вы можете продолжить просмотр следующих команд с помощью своих примеров.

Команды для TCPDUMP

После установки давайте поговорим непосредственно про команды. Мы разберем только основные, которых должно хватить практически для любых операций с командной строкой. Если у вас возникнут какие-то вопросы по поводу некоторых команд, мы с радостью объясним вам более детально в комментариях.

Теперь давайте перейдем к основам того, как пользоваться TCPDUMP.

1. Захват пакетов с определенного интерфейса

Экран команды будет прокручиваться до тех пор, пока вы не остановите его, и когда мы выполним команду tcpdump, он будет захватываться со всех интерфейсов, однако с -i переключить только из определенного программного интерфейса.

# tcpdump -i eth0

2. Захватить только N Количество пакетов

Когда вы запустите команду tcpdump, она будет захватывать все пакеты для указанного интерфейса, пока вы не нажмете кнопку отмены. Но с использованием опции -c вы можете захватить определенное количество пакетов. В приведенном ниже примере будут отображены только 6 пакетов.

# tcpdump -c 5 -i eth0

3. Печать захваченных пакетов в ASCII

Следующая команда tcpdump с параметром -A отображает пакет в формате ASCII. Это формат схемы кодирования символов.

# tcpdump -A -i eth0

4. Отображение доступных интерфейсов

Чтобы просмотреть список доступных интерфейсов в системе, выполните следующую команду с опцией -D.

# tcpdump -D

5. Отображение захваченных пакетов в HEX и ASCII

Следующая команда с опцией -XX захватывает данные каждого пакета, включая заголовок уровня канала в формате HEX и ASCII.

# tcpdump -XX -i eth0

6. Захват и сохранение пакетов в файле

Как мы уже говорили, у tcpdump есть функция для записи и сохранения файла в формате .pcap, для этого просто выполните команду с параметром -w.

# tcpdump -w 0001.pcap -i eth0

7. Прочтите файл с захваченными пакетами

Для чтения и анализа файла захваченного пакета 0001.pcap используйте команду с параметром -r, как показано ниже.

# tcpdump -r 0001.pcap

8. Захват пакетов IP-адресов.

Чтобы захватить пакеты для определенного интерфейса, выполните следующую команду с опцией -n.

# tcpdump -n -i eth0

9. Захват только TCP-пакетов.

Чтобы захватить пакеты на основе TCP-порта, запустите следующую команду с параметром tcp.

# tcpdump -i eth0 tcp

10. Захват пакета из определенного порта

Предположим, вы хотите захватить пакеты для определенного порта 22, выполните следующую команду, указав номер порта 22, как показано ниже.

# tcpdump -i eth0 port 22

11. Захват пакетов с исходного IP-адреса

Чтобы захватить пакеты с исходного IP-адреса, скажем, вы хотите захватить пакеты для 192.168.0.2, используйте следующую команду.

# tcpdump -i eth0 src 192.168.0.2

12. Захват пакетов с IP-адреса назначения

Чтобы захватить пакеты с IP-адреса назначения, скажите, что вы хотите захватить пакеты для 50.116.66.139, используйте следующую команду.

# tcpdump -i eth0 dst 50.116.66.139

Эта статья может помочь вам глубже изучить команду tcpdump, а также собрать и проанализировать пакеты в будущем. Существует множество доступных опций, вы можете использовать параметры в соответствии с вашими требованиями. Пожалуйста, поделитесь мнением, если вы найдете эту статью полезной через наш блок комментариев. Вот мы и разобрали основные команды, как пользоваться TCPDUMP.

Выводы

Надеемся вы поняли, как пользоваться TCPDUMP. Мы постарались разобрать все основные функции, которые могут пригодится не только новичку но и уверенному пользователю любой операционной системы.

Также, если статья была полезной для вас, то обязательно поделитесь на в социальных сетях Google+, Facebook, Twitter, Одноклассники или ВКонтакте. Давайте развивать наше сообщество вместе!

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...

Добавьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: